Hlavní navigace

Hackerské útoky na vzestupu, brání i svobodný Internet

1. 7. 2011
Doba čtení: 5 minut

Sdílet

Pokusy hackerů a crackerů o cílené útoky se v poslední době rozmnožily, profesionálních průniků přibývá. Sony, Sega, CIA a další by mohly vyprávět, ne vždy je však motivací krádež dat a citlivých informací.

Herní společnosti jako by poslední dobou byly velice otravným trnem v oku různých hackerských skupin, po dřívějším útoku na síť Sony se další kauzou může „pyšnit“ Sega. Útočníci v tomto případě pronikli do služby Sega Pass a podařilo se jim ukrást data vztahující se k 1,3 milionu uživatelů, kteří byli v této službě registrováni. Sega o problému promptně informovala na svých webových stránkách, stejně tak rozeslala varovné e-maily postiženým klientům.

Ve srovnání s dřívějším útokem na Sony se jedná o útok s mnohem menším dopadem, nicméně to nic nemění na faktu, že by se neměl jen tak přehlédnout a přejít. Připomeňme, že v dubnu se uživatelé herní sítě Sony dozvěděli o nabourání registrovaných účtů, a získali osobní informace v nešifrované podobě, do této kategorie patří například jméno, e-mailová adresa, poštovní adresa, datum narození a přihlašovací údaje k dané síti. V případě aktuálního útoku na systém Sega Pass byly získány e-mailové adresy, data narození a šifrovaná hesla.

Pozitivum a alespoň částečné uklidnění postižených uživatelů Sega Pass tedy poskytuje informace o šifrování uložených hesel, byť se to na první pohled může zdát jako drobnost, která na nedostatečném zabezpečení a úspěšnosti útoku nic nemění. Pokud by útočníci získali kromě registračního e-mailu (které bylo dostupné v plaintextu) i heslo k Sega Pass, mohli zkusit další útoky. Jelikož řada uživatelů používá jedno heslo k více službám, lze je v horších scénářích spárovat a pokusit se proniknout do dalších služeb jednotlivých obětí.

Oproti kauze Sony tedy nyní podobné pokusy v případě Segy naštěstí nemohou dojít naplnění. Je zajímavé, že Sony dodnes, tedy více než dva měsíce po útoku, není schopná s určitostí potvrdit nebo vyvrátit, zda si útočníci tehdy odnesli také údaje o platebních kartách. Přitom hned po oficiálním oznámení incidentu, které přišlo se značným zpožděním, přislíbila důkladné prošetření a zjištění všech podrobností. Doufejme, že Sega již odkryla všechny karty a nebudou následovat ostré a nebezpečné střípky dalších detailů.

Sega Pass
Domovské stránky Sega Pass, dočasně je služba mimo provoz

Kdo se sveze na vlně?

Prozatím nebylo odhaleno, kdo za aktuálními útoky proti společnosti Sega stojí, který hacker (chcete-li přesněji, tak cracker) nebo vícečlenná skupina je má na svědomí. Na stránkách Sega Pass je vydáno doporučení ke změně údajů, které uživatelé ve stejné podobě využívají také u jiných služeb, stejně tak univerzální omluva s vyjádřením lítosti a e-mailovou adresou na technickou podporu. Asi netřeba zdůrazňovat, že Sega Pass je od inkriminovaného 16. června offline, uživatelé ji nemohou v plném rozsahu používat.

Důležité je upozornění na téma případné krádeže informací o jednotlivých platbách, které mají v celém systému Sega Pass výsadní postavení. Provozovatelé se zaručili, že k jejich odcizení v žádném případě nemohlo dojít, jelikož nejsou ukládány v rámci Sega, ale zpracovány jinými společnostmi. Klienti se tak nemusí bát. I přesto však, tak jako v případě dalších podobných incidentů, otevírá aktuální útok na Sega Pass prostor podvodníkům, kteří se na dané vlně pořádně svezou.

Takřka vždy se objeví klasické podvodné e-maily zneužívající ukradené informace a pokoušející se vyloudit peníze z důvěřivých uživatelů. Riziko je v tomto případě o to větší, že napadená herní síť pokrývá i velké množství běžných uživatelů, kteří jsou vždy na takováto lákadla náchylnější a důvěřivější. Rada je tedy i zde univerzální: Sega v blízké době nebude klienty prostřednictvím e-mailu kontaktovat ohledně citlivých informací a nebude požadovat žádný reset účtu nebo odkazovat na jakékoliv stránky.

Blog Sony
Již dříve se s problémy potýkala společnost Sony a její herní síť, zdrojem informací se staly příspěvky na oficiálním blogu

Hackeři si zlepšují renomé

K některým známým útokům se přiznala hackerská skupina LulzSec. Dlouhodobě se dříve předpokládalo, že za hacknutím herní sítě Sony stojí Anonymous, kteří již dříve na Sony útočili, nicméně právě ti i přes obvinění Sony svou účast odmítali. Anonymous jsou dobře známí i širší veřejnosti díky hromadným dobrovolným DDoS útokům ve jménu WikiLeaks, naproti tomu LulzSec se stali celosvětovým hitem teprve v poslední době. Nutno podotknout, že jejich zviditelnění proběhlo tak, že je mohl jen málokdo přehlédnout.

První myšlenky po útoku na Sega Pass vcelku logicky směřovaly k tomu, že by za činem opět mohlo stát uskupení LulzSec, ti se však od něj v oficiálním prohlášení distancovali. Navíc se nechali slyšet, že rádi pomohou společnosti Sega při pátrání po útočnících a nabídnou své služby pro jejich vystopování. Bylo by však chybou myslet si, že jsou LulzSec pravými slušňáky, jejich útoky z poslední doby budí pořádný respekt.

LulzSec patří do skupiny takzvaných hacktivistů, kteří svými útoky vyjadřují námitky proti ožehavým problémům, snaží se na ně upozornit. Nedávno zaútočili na stránky CIA a některé další známé organizace i přední světové firmy. Časté skloňování názvů skupin Anonymous a LulzSec není náhodné, obě organizace totiž v nedávných dnech vyhlásili operaci AntiSec – jejím cílem je útočit na organizace, webové stránky a i konkrétní firmy, které se snaží omezovat svobodu na Internetu.

CS24 tip temata

I když se akce AntiSec a s ní spojené údery hájí myšlenkou boje za svobodu slova a udržení dostupnosti informací celému světu, jedná se o útoky jako kterékoliv jiné. V případě odhalení konkrétních osob tedy útočníci mohou být stíháni, ostatně se tak již párkrát stalo. Jednotlivé útočníky lze ve velké míře však jen stěží vystopovat, a tak mají hromadné DDoS útoky, krádeže důležitých informací nebo databází poměrně velkou šanci na úspěch bez větší dohry.

Stačí „pouze“ najít uvěřitelnou a obhajitelnou teorii, tou si podložit útok a nalákat ovečky. Narychlo vytvořená skupina pak může s minimem nákladů a během pár chvil odstavit servery, do jejichž zabezpečení a chodu provozovatelé investovali nesrovnatelně větší sumy. Tak trochu se v nastalé euforii ale stále zapomíná na to, že jde opravdu o klasické útoky postavené mimo zákon, a tedy řešení ve stylu divokého západu. Hackerské útoky jsou v poslední době na vzestupu, jejich počet a hlavně medializace v rámci hacktivismu narůstají. Doufejme, že jde jen o další vlnu digitálních demonstrací, které se nezvrhnou v něco horšího.

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).